Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.4)
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Special Edition РУСБ.10230-02
  • Astra Linux Special Edition РУСБ.10152-01

О лицензировании, применении и сертификации программ из состава диска «Операционная система специального назначения «Astra Linux Special Edition РУСБ.10015-01». Средства разработки»

Программы из состава диска «Текст программы. Загрузочный модуль. Часть 2. Средства разработки» (обозначение при поставке – диск «Операционная система специального назначения «Astra Linux Special Edition». Средства разработки», далее по тексту – диск «Средства разработки») являются свободно распространяемым программным обеспечением с открытым программным кодом, исключительные права на которое принадлежат авторам данных объектов интеллектуальной собственности (правообладателям).

Порядок использования таких программ установлен в свободных лицензионных договорах, опубликованных в открытом доступе правообладателями, и предполагает право использования программ в любых, не запрещенных законом целях, в том числе в целях изучения и адаптации исходных кодов (текстов) программ, их переработки, распространения, внесения изменений и распространения экземпляров изменённых (переработанных) программ.

Таким образом, на программное обеспечение из состава диска «Средства разработки» действуют только собственные лицензионные условия, разработанные авторами (правообладателями). Никакие ограничения со стороны ООО «РусБИТех-Астра» на использование программ из состава диска «Средства разработки» не налагаются.

Вместе с тем в соответствии с действующими нормативными актами по защите информации Министерства обороны Российской Федерации использование средств разработки в составе информационных (автоматизированных) систем, обрабатывающих информацию ограниченного доступа, запрещено.

Таким образом, диск «Средства разработки» может использоваться только для разработки специального (прикладного) программного обеспечения (далее по тексту – СПО), предназначенного для функционирования в среде «Операционной системы специального назначения «Astra Linux Special Edition», и не подлежит поставке для применения на объектах информатизации Министерства обороны Российской Федерации, подлежащих аттестации на соответствие требованиям безопасности информации, в том числе в составе других изделий.

В случае, если применение каких-либо программ из состава диска «Средства разработки» необходимо для обеспечения функционирования СПО, эти программы должны быть включены в состав разрабатываемого СПО, в том числе в состав загрузочного модуля (установочного диска), и сертифицированы на соответствие требованиям безопасности информации в его составе.

Программное обеспечение диска «Средства разработки» не реализует функций защиты информации, не является самостоятельным изделием и проверено в рамках сертификации «Операционной системы специального назначения «Astra Linux Special Edition» в системе сертификации Министерства обороны Российской Федерации только на соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г., далее по тексту – РД НДВ) в части статического анализа исходных текстов программ.

Предлагаемый порядок действий для использования программ из состава диска «Средства разработки» приведен в приложении.

При проведении сертификации СПО, содержащего программы из состава диска «Средства разработки», необходимо провести проверки указанных программ в части соответствия остальным требованиям РД НДВ, проверки соответствия реальных и декларируемых в документации функциональных возможностей и иных требований безопасности (при необходимости).

Внимание!

Начиная с Astra Linux РУСБ.11015-01 очередное обновление 1.7 возможность поставки диска «Средства разработки», ранее доступная потребителю, из способов поставки исключена. Данное решение принято в целях исключения введения в заблуждение пользователей относительно того, что «Средства разработки» являются сертифицированной частью операционной системы, а также исключения поставки дисков «Средства разработки» на объекты информатизации, аттестованные на соответствие требованиям по безопасности информации.

Наличие средств разработки и отладки в составе автоматизированных систем, обрабатывающих информацию ограниченного доступа, запрещено в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехккомиссия, 1992):

  • для систем классов 3Б, 3А, 2Б, 2А — требования к подсистеме обеспечения целостности: требования к отсутствию в АС средств разработки и отладки программ;
  • для систем классов 1Д, 1Г, 1В, 1Б, 1А — требования к подсистеме обеспечения целостности: требования к отсутствию средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации.

Приложение. Порядок действий для использования программ из состава диска «Средства разработки»

Настоящее приложение применимо для Astra Linux РУСБ.10015-01 до очередного обновлений 1.6 включительно. Данное приложение неприменимо для Astra Linux РУСБ.10015-01 очередное обновление 1.7. 

Порядок действий для использования программ из состава диска «Средства разработки»:

Вариант 1 (рекомендуемый). Включение исходных текстов программ. Для использования этого варианта запросить у ООО «РусБИТех-Астра» исходные тексты необходимых программ и включить их в состав разрабатываемого СПО с проведением сертификации на все предъявляемые к СПО требования по безопасности информации;

Вариант 2. Включение программ в виде исполняемых файлов. Для использования этого варианта:

  1. Закупить установленным порядком «Операционной системы специального назначения Astra Linux Special Edition» вместе с дополнительно поставляемым диском «Средства разработки»;
  2. Включить «Операционную систему специального назначения Astra Linux Special Edition» в состав собственного СПО в качестве составной части (комплекса), для чего в документ «Спецификация» внести следующую запись:

    РУСБ. XXXX. Операционная система специального назначения «Astra Linux Special Edition»

    К записи указать примечание примерно следующего содержания:

    «В комплектность поставки не входит, предназначено только для разработки и сборки загрузочного модуля изделия <указать децимальный номер собственного СПО>.
  3. Указать в документах, в соответствии с которыми осуществляется «сборка» установочного диска СПО (например, «Инструкции по сборке», «Руководстве системного программиста»), процедур копирования необходимых программ с диска «Средства разработки» (включая операции по монтированию диска), с указанием полного перечня копируемых программ и контрольных сумм их файлов, способов и путей копирования;

  4. В документах, содержащих сведения о структуре и функционировании СПО, описания алгоритмов его функционирования (например, «Описание программы» и «Пояснительная записка»), указать перечень используемых программ, их назначение и сценарии использования.

Таким образом, при последующей сертификации СПО, испытательная лаборатория может убедиться, что диск «Средства разработки» был предоставлен разработчику на законном основании и разработчик не нарушает прав правообладателей, подтвердить, что программы диска «Средства разработки» в составе СПО используются в соответствии с описанными сценариями и назначениями, а также соответствие контрольных сумм библиотек с эталонными.

Данный вариант не отменяет необходимость проведения сертификации разрабатываемого СПО совместно с заимствованными с диска «Средства разработки» программами на соответствие остальным требованиям РД НДВ, проверки соответствия реальных и декларируемых в документации функциональных возможностей и иных требований безопасности (при необходимости).